Resurgen los fallos de Java a consecuencia de la rotura de parches

El parche para fallos críticos de Java publicado por Oracle en 2013 es ineficaz y puede saltarse fácilmente, según advirtieron unos investigadores de seguridad. Esto supone que la vulnerabilidad sea explotable de nuevo, allanando el camino a nuevos ataques sobre PC y servidores que utilizan la última versión de Java.

El fallo, que está registrado como CVE-2013-5838 en la base de datos Common Vulnerabilities and Exposures (CVE), fue puntuado por Oracle con un 9,3 sobre 10 usando el Common Vulnerability Scoring System (CVSS). El fallo se puede utilizar de forma remota, sin autentificación, comprometiendo totalmente la confidencialidad, integridad y disponibilidad de un sistema.

Según los investigadores de la compañía polaca Security Explorations, que fueron los primeros en informar a Oracle del fallo, los atacantes pueden utilizar el exploit para burlar los sistemas de seguridad de Java. En condiciones normales, el Java Runtime Environment (JRE) ejecuta el código Java dentro de una máquina virtual que está sujeta a restricciones de seguridad.

El jueves, Security Explorations reveló que el parche de Oracle para la vulnerabilidad se había roto. El fallo se podría evitar con un sencillo desvío, cambiando cuatro caracteres en el código lanzado por Oracle en 2013, según escribió el CEO de Security Explorations, Adam Godwdiak, en un correo electrónico enviado a la lista completa del Full Disclosure.

Los investigadores de la compañía aseguran que su nuevo exploit se han probado con éxito en las últimas versiones disponibles de Java: Java SE 7 Update 97, Java SE 8 Update 74 y Java SE 9 Early Access Build 108.

En su primer informe en octubre de 2013, Oracle notó que el CVE-2013-5838 sólo afectaba a las implementaciones de los clientes de Java y podían ser explotadas a través de “sandboxed Java Web Start applications y sandboxed Java applets”. Según Security Explorations, esto no sería correcto. “Hemos verificado que podría ser utilizado con éxito en entornos de servidores así como en Google App Engine para Java”, explicó Godwiak en el mensaje al Full Disclosure.

En la parte del cliente, el incumplimiento del nivel de seguridad de Java- que sólo permite ejecutar applets de Java- y su comportamiento  click-to-play puede actuar como mitigador. Estas restricciones de seguridad pueden prevenir ataques silenciosos automatizados.

Para explotar la vulnerabilidad de las actualizaciones de Java, los atacantes necesitarían encontrar un fallo independiente que les permitiera eludir las indicaciones de seguridad o convencer a los usuarios de que aprobaran sus applet maliciosos, siendo esta  última ruta la más probable.

Security Explorations no ha notifica a Oracle esta desviación de CVE-2103-5838 antes de su divulgación. Según Gowdiak, la nueva política de la compañía es informar al público inmediatamente cuando se encuentran vulnerabilidades de las cuales ya se ha informado a los vendedores. “No vamos a tolerar más parches  rotos”, aseguró Gowdiak.

Aún se desconoce si Oracle pondrá en marcha una actualización de emergencia de Java para contrarrestar esta vulnerabilidad o si esperará a la próxima actualización trimestral programada para el 19 de abril.